Διαμορφώστε έναν προορισμό μη SD-WAN μέσω πύλης στο SD-WAN Orchestrator για να δημιουργήσετε μια ασφαλή διοχέτευση IPSec στην πύλη Netskope μέσω Πύλη SD-WAN.

Για να διαμορφώσετε έναν προορισμό μη SD-WAN μέσω πύλης:

Προϋποθέσεις

Βεβαιωθείτε ότι έχετε ήδη διαμορφώσει μια διοχέτευση IPsec στην πύλη Netskope NG SWG. Δείτε Διαμόρφωση διαπιστευτηρίων VPN στην πύλη Netskope.

Διαδικασία

  1. Συνδεθείτε στο SD-WAN Orchestrator και βεβαιωθείτε ότι δημιουργούνται οι παρουσίες των πελατών και ότι τα Edge είναι online.
  2. Κάντε κλικ στη σύνδεση προς ένα όνομα πελάτη για να μεταβείτε στην εταιρική πύλη.
  3. Στην πύλη επιχείρησης, κάντε κλικ στις επιλογές Διαμόρφωση (Configure) > Υπηρεσίες δικτύου (Network Services).
  4. Στο παράθυρο Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στην επιλογή Νέο (New) για να δημιουργήσετε έναν νέο μη SD-WAN προορισμό.
  5. Στο παράθυρο Νέος προορισμός μη SD-WAN μέσω πύλης (New Non SD-WAN Destination via Gateway), διαμορφώστε τα εξής:
    Επιλογή Περιγραφή
    Όνομα Εισαγάγετε ένα περιγραφικό όνομα για τον προορισμό μη SD-WAN.
    Τύπος (Type) Επιλέξτε τον τύπο Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)].
    Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Εισαγάγετε τη διεύθυνση IP του πρωτεύοντος POP που χρησιμοποιήθηκε για τη ρύθμιση της διοχέτευσης VPN στην πύλη Netskope.
    Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Εισαγάγετε τη διεύθυνση IP του δευτερεύοντος POP που χρησιμοποιήθηκε για τη ρύθμιση της διοχέτευσης VPN στην πύλη Netskope.
    Κάντε κλικ στο κουμπί Επόμενο (Next).
  6. Στο επόμενο παράθυρο, διαμορφώστε τις ακόλουθες ρυθμίσεις:
    Θα εμφανιστούν τα στοιχεία Όνομα (Name) και Τύπος (Type) του προορισμού μη SD-WAN. Επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση διοχέτευσης (Enable Tunnel(s)) για να ενεργοποιήσετε τη διοχέτευση.
    Κάντε κλικ στην επιλογή Για προχωρημένους (Advanced) για να διαμορφώσετε τις υπόλοιπες παραμέτρους διοχέτευσης IPsec για τις πρωτεύουσες και δευτερεύουσες πύλες VPN, ως εξής:
    Επιλογή Περιγραφή
    Κρυπτογράφηση (Encryption) Επιλέξτε το κλειδί αλγορίθμων AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Εάν δεν θέλετε να κρυπτογραφήσετε τα δεδομένα, επιλέξτε Μηδέν (Null). Η προεπιλεγμένη τιμή είναι AES 128.
    Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group που θα χρησιμοποιηθεί κατά την ανταλλαγή του ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15 και 16. Συνιστάται η χρήση της Ομάδας DH 14.
    PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15 και 16. Η προεπιλεγμένη τιμή είναι «Απενεργοποιημένο».
    Κατακερματισμός (Hash) Επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN από την αναπτυσσόμενη λίστα. Είναι διαθέσιμες οι ακόλουθες επιλογές SHA (Secure Hash Algorithm):
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Η προεπιλεγμένη τιμή είναι SHA 256.

    Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IKE SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 10 έως 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
    Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IPsec SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 3 έως 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
    Χρονόμετρο λήξης χρονικού ορίου DPD (δευτ.) [DPD Timeout Timer(sec)] Εισαγάγετε τον μέγιστο χρόνο που πρέπει να αναμένει μια συσκευή για να λάβει απάντηση σε ένα μήνυμα DPD, προτού θεωρήσει ότι η ομότιμη σύνδεση είναι εκτός λειτουργίας. Η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε μηδέν (0).
    Πλεονάζον VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) – Επιλέξτε το πλαίσιο ελέγχου για να δημιουργήσετε τις διοχετεύσεις IPSEC από τις πρωτεύουσες και δευτερεύουσες Πύλες SD-WAN.
    Υποδίκτυα τοποθεσίας (Site Subnets) – Προσθέστε υποδίκτυα για το Προορισμός μη SD-WAN χρησιμοποιώντας το εικονίδιο Συν ( +). Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το πλαίσιο ελέγχου Απενεργοποίηση υποδικτύων τοποθεσίας (Deactivate Site Subnets).
    Αναγνωριστικό τοπικού ελέγχου ταυτότητας (Local Auth Id) – Επιλέξτε το αναγνωριστικό τοπικού ελέγχου ταυτότητας από την αναπτυσσόμενη λίστα, για να ορίσετε τη μορφή και την ταυτοποίηση της τοπικής πύλης. Είναι διαθέσιμες οι ακόλουθες επιλογές:
    • Προεπιλογή (Default) – Από προεπιλογή, η δημόσια διεύθυνση IP διασύνδεσης του Πύλη SD-WAN χρησιμοποιείται ως αναγνωριστικό τοπικού ελέγχου ταυτότητας.
    • FQDN - Το πλήρως προσδιορισμένο όνομα τομέα ή όνομα κεντρικού υπολογιστή. Για παράδειγμα, google.com.
    • FQDN χρήστη (User FQDN) - Το πλήρως προσδιορισμένο όνομα τομέα χρήστη με τη μορφή διεύθυνσης email. Για παράδειγμα, user@google.com.
    • IPv4 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
    Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) και κλείστε το παράθυρο.

Αποτελέσματα

Ο νέος προορισμός μη SD-WAN μέσω πύλης θα εμφανιστεί στο παράθυρο Υπηρεσίες δικτύου (Network Services):

Επόμενες ενέργειες

Διαμορφώστε το προφίλ ώστε να χρησιμοποιεί τον νέο προορισμό μη SD-WAN μέσω πύλης. Δείτε Διαμόρφωση προφίλ με προορισμό μη SD-WAN μέσω πύλης.